代码之家 › 专栏 › 技术社区 › Tim unnamed eng

为什么参数化查询允许将用户数据移出要解释的字符串?

code-injection sql-injection sql

-2

Tim unnamed eng · 技术社区 · 7 年前

为了防止代码注入问题,使用安全的输入和输出处理,例如:

使用API,如果使用得当,对所有输入字符都是安全的。 参数化查询(也称为“编译查询”、“准备语句”、“绑定变量”)允许将用户数据从要解释的字符串中移出。 另外,标准api[7]和类似的api远离了要创建和解释的命令字符串的概念。

我想知道“参数化查询(也称为“编译查询”、“准备好的语句”、“绑定变量”)如何以及为什么允许将用户数据从字符串中移出进行解释,并防止或缓解代码注入问题?

你也能提供一些解释的例子吗?

谢谢。

1 回复 | 直到 7 年前

The Impaler 7 年前

select * from applicant where name = ?

select * from applicant where name = :name

Mary x'; delete from applicant; --

select * from applicant where name = 'x; delete from applicant; --'

String sql = "select * from applicant where name = '" + param1 + "'";

select * from applicant where name = 'x'; delete from applicant; --

推荐文章

cagta · 如何使用此python脚本避免硬编码sql表达式?

7 年前

John · MySQL php查询缺陷

7 年前

DavidC · Rails ActiveRecord:如何在jsonb上使用带双引号的绑定变量

7 年前

Mori · Azure函数中针对CosmosDB的SQLInjection

7 年前

ÐÐ¾Ð½ÑÑÐ°Ð½ÑÐ¸Ð½ ÐÐ¾Ð²Ð°Ð»ÐµÐ² · Laravel eloquent selectRaw for SQL注入

7 年前

zerocool · 数据库中的查询级别

7 年前

Arunabh · 在不使用预处理语句的情况下摆脱SQL注入

7 年前

Michael Pomogajko · 为基于时间的盲sqlinjection查找sql查询

7 年前

Paul · 是节点中的转义函数。js mysql包是否足以安全地查询mysql数据库(无需使用准备好的语句)?

8 年前

Web Dev Guy · 使用WordPress get\u results()数据库函数是否会阻止sql注入

8 年前